Поддержка клиентской маршрутизации исходящего трафика плоскости управления в Amazon EKS
Amazon Elastic Kubernetes Service (Amazon EKS) с сегодняшнего дня поддерживает маршрутизацию клиентом исходящего трафика плоскости управления. Эта возможность позволяет клиентам направлять исходящий трафик серверов Kubernetes API через собственное облако Amazon Virtual Private Cloud (Amazon VPC). Этот трафик включает обратные вызовы веб-перехватчиков приема, поиск поставщиков OpenID Connect (OIDC) и агрегированные запросы к серверам API. Маршрутизируемый клиентом исходящий трафик плоскости управления проходит через клиентское VPC, которое позволяет клиенту контролировать маршрутизацию, группы безопасности и путь трафика.
Организации со строгими требованиями к периметру данных, нормативными мандатами или частной сетевой инфраструктурой могут использовать клиентскую маршрутизацию исходящего трафика плоскости управления для связи с частными поставщиками OIDC и серверами веб-перехватчиков, доступными только во внутреннем VPC, и контролировать маршрут трафика в своей сети. Для начала задайте для параметра controlPlaneEgressMode значение CUSTOMER_ROUTED при создании нового или обновлении уже существующего кластера. Чтобы применить эту конфигурацию в масштабе всей организации, используйте ключ условия eks:controlPlaneEgressMode в системе управления идентификацией и доступом (IAM) с политиками управления сервисами Организаций AWS.
Клиентская маршрутизация исходящего трафика плоскости управления предлагается без дополнительной платы во всех регионах AWS, где доступен сервис Amazon EKS. Подробнее см. раздел Настройка маршрутизации исходящего трафика плоскости управления из Руководства пользователя Amazon EKS.